2022年,谷歌發(fā)了1200 萬(wàn)美元的漏洞賞金

發(fā)布時(shí)間 2023-02-23

2022 年,谷歌通過(guò)漏洞獎(jiǎng)勵(lì)計(jì)劃支付了有史以來(lái)最高的漏洞獎(jiǎng)金,為安全研究人員報(bào)告的 2900 多個(gè)漏洞,支付超 1200 萬(wàn)美元。


安卓漏洞賞金計(jì)劃


近期,谷歌發(fā)布了漏洞獎(jiǎng)勵(lì)計(jì)劃(VRPs)的統(tǒng)計(jì)數(shù)據(jù),詳細(xì)概述了安全研究人員如何發(fā)現(xiàn)公司產(chǎn)品中安全漏洞以及獲得的漏洞賞金數(shù)額。


資料顯示,最大單筆報(bào)酬發(fā)給了 gzobqq ,其在提交的報(bào)告中詳細(xì)說(shuō)明了安卓系統(tǒng)中五個(gè)漏洞(CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20460)的利用鏈,一共獲得了 60.5 萬(wàn)美元的獎(jiǎng)勵(lì)。


值得一提的是,2021年,gzobqq 發(fā)現(xiàn)并報(bào)告了安卓系統(tǒng)中的另一個(gè)關(guān)鍵漏洞鏈,獲得了 15.7 萬(wàn)美元的獎(jiǎng)勵(lì),該金額是當(dāng)時(shí)安卓系統(tǒng) VRP 歷史上最高的漏洞賞金。通常情況下,通過(guò)谷歌 VRP 提交安卓漏洞的賞金最高為 1 萬(wàn)美元,但對(duì)于漏洞鏈,提供者最高可獲得的賞金高達(dá) 100 萬(wàn)美元。


2022 年,谷歌還通過(guò)其與安卓芯片組制造商合作提供的私人獎(jiǎng)勵(lì)計(jì)劃 ACSRP,為 700 份漏洞安全報(bào)告提供了 48.6 萬(wàn)美元的獎(jiǎng)勵(lì)。


Chrome 和 OSS 的獎(jiǎng)勵(lì)


2022 年,谷歌公司還為 Chrome 瀏覽器中的 363 個(gè)漏洞和 ChromeOS 中的 110 個(gè)安全漏洞支付了總計(jì) 400 萬(wàn)美元的賞金。除了向研究人員發(fā)放獎(jiǎng)金外,谷歌還向 170 多名研究人員發(fā)放了超過(guò) 25 萬(wàn)美元的贈(zèng)款。這些資金用于關(guān)注谷歌產(chǎn)品和服務(wù)的個(gè)人研究員,即使他們沒(méi)有發(fā)現(xiàn)任何漏洞。


2022 年,谷歌為通過(guò)漏洞獎(jiǎng)勵(lì)計(jì)劃提交的報(bào)告支付了 703 名研究人員的費(fèi)用,并成為 NahamCon 和 BountyCon 安全相關(guān)會(huì)議的贊助商。